Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\kingsoftkonline\KINSTALLERS_66_4515.exe' /s
- '%TEMP%\setups_66_21846.exe.exe'
- '%TEMP%\KINSTALLERS_66_4515.exe'
- '%TEMP%\kingsoftkonline\KINSTALLERS_66_4515.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "%TEMP%\delay.vbs"
- '<SYSTEM32>\cmd.exe' /c c:\Del.bat
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\delay.vbs
- %TEMP%\kingsoftkonline\KINSTALLERS_66_4515.exe.tmp
- C:\Del.bat
- %TEMP%\KINSTALLERS_66_4515.exe
- %TEMP%\setups_66_21846.exe.exe
Удаляет следующие файлы:
- %TEMP%\setups_66_21846.exe.exe
- %TEMP%\delay.vbs
Перемещает следующие файлы:
- %TEMP%\kingsoftkonline\KINSTALLERS_66_4515.exe.tmp в %TEMP%\kingsoftkonline\KINSTALLERS_66_4515.exe
Сетевая активность:
Подключается к:
- 'cd###.www.duba.net':80
- 'bo.###a.net:8080':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- cd###.www.duba.net/duba/install/2011/ever/akavsetups_66_0.exe
- bo.###a.net:8080/pagetracer2/duba/__utm.gif?01#####################################################################################################################
UDP:
- DNS ASK j.#####.ijinshan.com
- DNS ASK cd###.www.duba.net
- DNS ASK 97#####han.taobao.com
- DNS ASK bo.###a.net:8080
- DNS ASK www.97##g.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
